一種集中訪問模式下用戶行為全面審計的方法
2023-05-20 10:05:41 2
專利名稱:一種集中訪問模式下用戶行為全面審計的方法
技術領域:
本發明屬於信息安全技術領域,特別是涉及在網絡環境中,對用 戶行為進行全面審計的方法。
背景技術:
隨著企業系統和支撐網絡的不斷完善,企業業務伺服器群及數據
大量集中,數據安全日趨明顯;對企業核心數據的安全保護也成為各 個企業信息安全建設的重點。
目前針對企業數據安全的保護技術主要是通過對企業內部用戶 的操作行為進行審計,即監聽。審計的方法主要有以下幾種
一種是基於網絡層面的偵聽審計,將偵聽設備部署於用戶數據匯 聚層,通過對網絡流量監聽、分析、協議重組等對用戶梯:作行為進行 展現。這種方法使用集中發布平臺發布應用程式,應用程式客戶端通 過專有協議展現在用戶的桌面,用戶與客戶端的交互在用戶的桌面上 完成,但是實際上應用程式客戶端的響應在集中發布平臺上運行的程 序中完成。應用程式客戶端在集中發布平臺的後臺以進程的方式運 行,這些運行的進程發起網絡訪問時都是以其所在的伺服器的ip地 址作為源ip,而目標地址都是所要訪問的伺服器地址,這樣當多個 用戶連接到同 一 臺集中發布伺服器使用相同的客戶端操作時,網絡行 為審計到的信息就是多個用戶同時進行網絡訪問的審計悽t據。這樣, 網絡行為審計無法將獲得的審計數據按照使用的用戶進行區分,使原 有的審計系統審計的信息失去應有的效力。另 一種是基於堡壘主^L的應用層面的審計,即所有用戶通過統一 入口登錄業務系統主機、資料庫,在堡壘主機上實現用戶操作審計。 這種方法由於大量用戶的集中接入,對於系統資源的開銷十分巨大, 造成系統大量資源的佔用,降低系統的效率。並且應用層的審計模塊 可能與其它的應用發生衝突出現數據丟失的現象。
發明內容
本發明的目的是針對上述問題,提供一種應用層面與網絡行為相 結合的全面審計的方法,實現審計的準確和翔實。 為此,本發明採用的技術方案如下。
一種集中訪問模式下用戶行為全面審計的方法,其特徵在於設 置由若干臺發布機組成的集中發布平臺,發布機上部署應用軟體及網 絡監聽程序;審計伺服器釆用旁路的方式聯入網絡,其網絡採集模塊 將用戶操作的網絡行為日誌採集到審計伺服器;審計伺服器將監聽程 序發送的用戶網絡訪問信息與網絡操作日誌相匹配組成完整的審計 信息,用於查詢分析,從而實現完整的基於操作者的審計數據。
本發明具體包括如下步驟
1)設置由若干臺發布機組成的集中發布平臺,發布機上部署應
用軟體及網絡監聽程序; 2 )用戶通過集中發布平臺的web界面請求訪問應用軟體;
3) 集中發布平臺根據負載均衡機制指定用戶訪問特定發布機 上的應用軟體;
4) 用戶使用本人主帳號通過集中發布平臺的客戶端連接發布 機,在發布機上啟動該應用軟體;
5) 集中發布平臺的客戶端把發布機上的應用軟體以圖像方式 推送回用戶終端;
6) 用戶在應用軟體中輸入本人從帳號、密碼訪問特定業務系 統;7 )發布機上的網絡監聽程序截獲應用軟體的網絡訪問;
8 ) 網絡監聽程序記錄應用軟體的網絡訪問信息,發送給審計服
務器;
9 ) 審計伺服器採用旁路的方式聯入網絡,其網絡採集模塊釆集
用戶操作的網絡行為日誌; 10)審計伺服器將發布機上監聽程序傳送過來的信息和網絡行 為曰志相匹配組成完整的審計信息,用於查詢分析,從而實 現完整的基於操作者的審計數據。
用戶在客戶端訪問集中發布平臺中的某臺發布機上的應用程式, 應用程式訪問網絡時,網絡訪問會經由安裝於發布機上的網絡監聽程 序,監聽程序能夠獲得該網絡訪問是哪個應用程式發起的,啟動應用 程序的系統帳號是什麼,並將這些信息發送給審計系統。
由於集中發布平臺上每臺發布機上的應用啟動前,需要完成操作 系統的登錄,而應用程式是由登錄作業系統的帳號的身份啟動的,部 署在發布機上的監聽程序能夠截獲網絡訪問的宿主程序,並根據該程 序在作業系統中的進程句柄獲得其會話信息,通過會話信息從而獲得 啟動該程序的作業系統帳號。
部署在發布機的網絡監聽程序能夠獲得網絡訪問的源ip、源端 口、目的ip、目的埠、時間戳、用戶作業系統帳號(主帳號)等 網絡訪問信息,對於每個應用每次網絡訪問會話的源ip、目的ip、 目的埠都是相同的,但是源埠是隨機的,即使同時啟動兩個相同 的程序,其源埠也是不一樣的,這樣可以通過源埠可以區分發布 機上相同程序到後臺伺服器間的不同會話。
在發布機上的監聽程序, 一方面將網絡訪問與系統帳號相對應區 分使用者的身份,另一方面將源埠進行區分,這樣可以區別不同的 網絡會話。網絡層面的審計按照網絡會話進行記錄,其中也包含的源 ip、源埠、目的ip、目的埠、時間戳等信息,將發布機上監聽 程序獲得網絡訪問信息與網絡層審計的信息相關聯就得到了完整的行為審計信息,包括使用者的身份、使用的應用程式、應用程式訪問 網絡的信息,使用者進行的操作信息、操作的時間等等內容都可以完 整地展現出來。
可見,本發明通過部署在發布機上的監聽程序解析應用程式和會
話,實現應用與行為操作的主從帳號對應關係;通過監聽程序與網絡 行為審計方式的結合,實現兩種技術手段的優勢互補,保證審計數據
的完整性和提高審計效率。本發明是兩種現有技術的有機整合,解決 了數據審計完整性的問題和審計系統性能問題。
圖l是本發明的示意圖。 圖2是本發明的時序圖。
具體實施例方式
參見附圖。本發明在客戶端和後臺伺服器之間設置有集中發布平 臺,由若干臺發布機組成,網絡監聽程序安裝於發布機上。 本發明的具體步驟如下
步驟一,設置由若干臺發布機組成的集中發布平臺,發布機上部 署應用軟體及網絡監聽程序;
步驟二,用戶通過集中發布平臺的web界面請求訪問應用軟體;
步驟三,集中發布平臺根據負載均衡才幾制指定用戶訪問特定發布 機上的應用軟體;
步驟四,用戶使用本人帳號(主帳號)通過集中發布平臺的客戶 端連接發布機,在發布機上啟動該應用軟體;
步驟五,集中發布平臺的客戶端把發布機上的應用軟體以圖像方 式推送回用戶終端;
步驟六,用戶在應用軟體中輸入帳號(從帳號)、密碼訪問特定 業務系統;步驟七,發布機上的網絡監聽程序截獲應用軟體的網絡訪問; 步驟八,網絡監聽程序記錄應用軟體的網絡訪問信息(如用戶主
帳號、源目IP、源目埠、訪問時間戳等),發送給審計伺服器; 步驟九,審計伺服器採用旁路的方式聯入網絡,其中的網絡採集
模塊採集用戶操作的網絡行為日誌(如源目IP、源目埠、訪問時
間戳、從帳號、操作對象、操作內容等);
步驟十,審計伺服器將發布機上監聽程序傳送過來的信息和網絡 行為日誌相匹配組成完整的審計信息,用於查詢分析,從而實現完整 的基於操作者的審計數據。
本實施例審計的數據完整,效率高,能完成發明目的。
權利要求
1. 一種集中訪問模式下用戶行為全面審計的方法,其特徵在於設置由若干臺發布機組成的集中發布平臺,發布機上部署應用軟體及網絡監聽程序;審計伺服器採用旁路的方式聯入網絡,其網絡採集模塊將用戶操作的網絡行為日誌採集到審計伺服器;審計伺服器將監聽程序發送的用戶網絡訪問信息與網絡操作日誌相匹配成完整的審計信息,用於查詢分析,從而實現完整的基於操作者的審計數據。
2. 如權利要求l所述的方法,其特徵在於包括如下步驟1)設置由若干臺發布機組成的集中發布平臺,發布機上部署應用軟體及網絡監聽程序; 2)用戶通過集中發布平臺的web界面請求訪問應用軟體;3) 集中發布平臺根據負載均衡機制指定用戶訪問特定發布機 上的應用軟體;4) 用戶使用本人主帳號通過集中發布平臺的客戶端連接發布 才幾,在發布^几上啟動該應用軟體;5) 集中發布平臺的客戶端把發布機上的應用軟體以圖像方式 推送回用戶終端;6) 用戶在應用軟體中輸入本人從帳號、密碼訪問特定業務系 統;7) 發布機上的網絡監聽程序截獲應用軟體的網絡訪問;8)網絡監聽程序記錄應用軟體的網絡訪問信息,發送給審計伺服器;9) 審計伺服器採用旁路的方式聯入網絡,其網絡採集模塊採集用戶操作的網絡行為曰志; 10)審計伺服器將發布機上監聽程序傳送過來的信息和網絡行 為曰志相匹配組成完整的審計信息,用於查詢分析,^v而實 現完整的基於操作者的審計數據。
全文摘要
本發明公開了一種集中訪問模式下用戶行為全面審計的方法,設置由若干臺發布機組成的集中發布平臺,發布機上部署應用軟體及網絡監聽程序;審計伺服器採用旁路的方式聯入網絡,其網絡採集模塊將用戶操作的網絡行為日誌採集到審計伺服器;審計伺服器將監聽程序發送的用戶網絡訪問信息與網絡操作日誌相匹配組成完整的審計信息,用於查詢分析,從而實現完整的基於操作者的審計數據。本發明通過監聽程序與網絡行為審計方式的結合,實現兩種技術手段的優勢互補,保證了審計數據的完整性和提高審計效率。
文檔編號H04L12/26GK101442449SQ20081016339
公開日2009年5月27日 申請日期2008年12月18日 優先權日2008年12月18日
發明者良 徐 申請人:中國移動通信集團浙江有限公司